- Descripción general del servicio
-
Guía del usuario
- Key Management Service
- Cloud Secret Management Service
- Key Pair Service
- HSM dedicado
- Gestión de etiquetas
- Registros de auditoría
- Control de permisos
-
Prácticas recomendadas
-
Key Management Service
- Uso de KMS para cifrar datos sin conexión
- Uso de KMS para cifrar y descifrar datos para servicios en la nube
- Uso del SDK de encriptación para cifrar y descifrar datos locales
- Encriptación y descifrado de datos con recuperación ante desastres entre regiones
- Uso de KMS para proteger la integridad de archivos
- Cloud Secret Management Service
- Generales
-
Key Management Service
-
Referencia de la API
- Antes de empezar
- Llamadas a APIs
- Descripción general de la API
-
APIs
- API de gestión de claves
- API de gestión de pares clave
- API de gestión de secreto
- Las API históricas
- Ejemplos de aplicación
- Políticas de permisos y acciones admitidas
- Apéndice
- Historial de cambios
- Pasos iniciales
-
Preguntas frecuentes
-
KMS Relacionados
- ¿Qué es Key Management Service?
- ¿Qué es una clave maestra del cliente?
- ¿Qué es una clave predeterminada?
- ¿Cuáles son las diferencias entre una clave personalizada y una clave predeterminada?
- What Is a Data Encryption Key?
- ¿Por qué no puedo eliminar un CMK inmediatamente?
- ¿Qué servicios en la nube pueden usar KMS para el cifrado?
- ¿Cómo servicios de Huawei Cloud utilizan KMS para cifrar datos?
- ¿Cuáles son los beneficios del cifrado de sobres?
- ¿Hay un límite en el número de claves personalizadas que puedo crear en KMS?
- ¿Puedo exportar un CMK desde KMS?
- ¿Puedo descifrar mis datos si elimino permanentemente mi clave personalizada?
- ¿Cómo uso la herramienta en línea para cifrar o descifrar pequeños volúmenes de datos?
- ¿Puedo actualizar CMK creados por materiales clave generados por KMS?
- When Should I Use a CMK Created with Imported Key Materials?
- ¿Qué debo hacer cuando elimino accidentalmente materiales clave?
- ¿Cómo se generan las claves predeterminadas?
- ¿Qué debo hacer si no tengo permisos para realizar operaciones en KMS?
- ¿Por qué no puedo envolver claves asimétricas usando -id-aes256-wrap-pad en OpenSSL?
- Algoritmos de clave soportados por KMS
- ¿Qué debo hacer si no se ha solicitado KMS y se muestra el código de error 401?
- ¿Cuál es la relación entre el texto cifrado y el texto plano devuelto por la API de encrypt-data?
- ¿Cómo protege KMS mis claves?
- ¿Cómo uso una clave asimétrica para verificar el resultado de la firma de un par de claves públicas?
- ¿Una clave importada admite la rotación?
- Credencial Relacionado
-
KPS Relacionados
- ¿Cómo creo un par de claves?
- ¿Qué son un par de claves privadas y un par de claves de cuenta?
- ¿Cómo puedo manejar un error de importación de un par de claves creado con PuTTYgen?
- ¿Qué debo hacer cuando no puedo importar un par de claves usando Internet Explorer 9?
- ¿Cómo inicio sesión en un ECS de Linux con una clave privada?
- ¿Cómo uso una clave privada para obtener la contraseña para iniciar sesión en un ECS de Windows?
- ¿Cómo puedo manejar la falla en la vinculación de un par de claves?
- ¿Cómo manejo el fallo en la sustitución de un par de claves?
- ¿Cómo puedo manejar la falla en el restablecimiento de un par de claves?
- ¿Cómo puedo manejar el fallo en la desvinculación de un par de claves?
- ¿Necesito reiniciar los servidores después de reemplazar su par de claves?
- ¿Cómo activo el modo de inicio de sesión con contraseña para un ECS?
- ¿Cómo manejo el fallo al iniciar sesión en ECS después de desvincular el par de claves?
- ¿Qué debo hacer si se pierde mi clave privada?
- ¿Cómo convierto el formato de un archivo de clave privada?
- ¿Puedo cambiar el par de claves de un servidor?
- ¿Puede un par de claves ser compartido por varios usuarios?
- ¿Cómo obtengo el archivo de clave pública o privada de un par de claves?
- ¿Qué puedo hacer si se informa de un error cuando se crea o actualiza una clave de cuenta por primera vez?
- ¿Se ocupará la cuota del par de claves de cuenta después de que se actualice un par de claves privadas a un par de claves de cuenta?
-
Relacionado con HSM dedicado
- ¿Qué es el HSM dedicado?
- ¿Cómo garantiza el HSM dedicado la seguridad para la generación de claves?
- ¿El personal de la sala de equipos tiene la función de súper administrador para robar información mediante el uso de un UKey privilegiado?
- ¿Qué HSM se utilizan para HSM dedicado?
- ¿Qué API admite HSM dedicado?
- ¿Cómo habilito el acceso público a una instancia de HSM dedicado?
- Precios
-
General
- ¿Qué funciones proporciona DEW?
- ¿Qué algoritmos de criptografía utiliza DEW?
- ¿En qué regiones están disponibles los servicios DEW?
- What Is a Quota?
- ¿Qué es el mecanismo de asignación de recursos de DEW?
- ¿Qué son las Regiones y las AZ?
- Can DEW Be Shared Across Accounts?
- ¿Cómo accedo a las funciones de DEW?
-
KMS Relacionados
- Actualmente, el contenido no está disponible en el idioma seleccionado. Sugerimos consultar la versión en inglés.
- What's New
- Function Overview
- Billing
- SDK Reference
- Videos
-
More Documents
- User Guide (ME-Abu Dhabi Region)
- User Guide (Paris and Amsterdam Regions)
-
User Guide (Kuala Lumpur Region)
- Service Overview
-
User Guide
- Key Management Service
- Cloud Secret Management Service
- Auditing Logs
- Permission Control
-
FAQs
-
KMS Related
- What Is Key Management Service?
- What Is a Customer Master Key?
- What Is a Default Key?
- What Are the Differences Between a Custom Key and a Default Key?
- What Is a Data Encryption Key?
- Why Cannot I Delete a CMK Immediately?
- Which Cloud Services Can Use KMS for Encryption?
- How Do Cloud Services Use KMS to Encrypt Data?
- What Are the Benefits of Envelope Encryption?
- Is There a Limit on the Number of Custom Keys That I Can Create on KMS?
- Can I Export a CMK from KMS?
- Can I Decrypt My Data if I Permanently Delete My Custom Key?
- How Do I Use the Online Tool to Encrypt or Decrypt Small Volumes of Data?
- Can I Update CMKs Created by KMS-Generated Key Materials?
- When Should I Use a CMK Created with Imported Key Materials?
- What Types of Keys Can I Import?
- What Should I Do When I Accidentally Delete Key Materials?
- How Are Default Keys Generated?
- What Should I Do If I Do Not Have the Permissions to Perform Operations on KMS?
- Why Can't I Wrap Asymmetric Keys by Using -id-aes256-wrap-pad in OpenSSL?
- Key Algorithms Supported by KMS
- What Should I Do If KMS Failed to Be Requested and Error Code 401 Is Displayed?
- What Is the Relationship Between the Ciphertext and Plaintext Returned by the encrypt-data API?
- How Does KMS Protect My Keys?
- Credential Related
-
KMS Related
- Change History
-
API Reference (ME-Abu Dhabi Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Querying CMK Instances
- Querying CMK Tags
- Querying Project Tags
- Adding or Deleting CMK Tags in Batches
- Adding a CMK Tag
- Deleting a CMK Tag
- Permissions Policies and Supported Actions
- Appendix
- Change History
-
API Reference (Paris and Amsterdam Regions)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
-
API Reference (Kuala Lumpur Region)
- Before You Start
- Calling APIs
- API Overview
-
APIs
- Creating a CMK
- Enabling a CMK
- Disabling a CMK
- Scheduling the Deletion of a CMK
- Canceling the Scheduled Deletion of a CMK
- Querying the List of CMKs
- Querying the Information About a CMK
- Creating a Random Number
- Creating a DEK
- Creating a Plaintext-Free DEK
- Encrypting a DEK
- Decrypting a DEK
- Querying the Number of Instances
- Querying the Quota of a User
- Changing the Alias of a CMK
- Changing the Description of a CMK
- Creating a Grant
- Revoking a Grant
- Retiring a Grant
- Querying Grants on a CMK
- Querying Grants That Can Be Retired
- Encrypting Data
- Decrypting Data
- Obtaining CMK Import Parameters
- Importing CMK Material
- Deleting CMK Material
- Enabling Rotation for a CMK
- Changing the Rotation Interval for a CMK
- Disabling Rotation for a CMK
- Querying the Rotation Status of a CMK
- Appendix
- Change History
Copiado.
Creación de una clave
Esta sección describe cómo crear una clave personalizada en la consola KMS.
Las claves personalizadas se pueden clasificar en claves simétricas y asimétricas.
Prerrequisitos
La cuenta tiene KMS CMKFullAccess o permisos superiores.
Restricciones
- Puede crear hasta 20 claves personalizadas, excluidas las claves predeterminadas. Las claves de réplica ocupan la cuota de claves personalizadas en la región.
- Las claves simétricas se crean utilizando la clave AES. La clave AES-256 se puede utilizar para cifrar y descifrar una pequeña cantidad de datos o claves de datos. La clave HMAC se utiliza para generar y verificar códigos de autenticación de mensajes.
- Las claves asimétricas se crean utilizando algoritmos RSA o ECC. Las claves RSA se pueden utilizar para encriptación, desencriptación, la firma digital y la verificación de firmas. Las claves ECC solo se pueden utilizar para la firma digital y la verificación de firmas.
- Los alias de las claves predeterminadas terminan con /default. Al elegir alias para las claves personalizadas, no utilice alias que terminen con /default.
- Las claves DEW se pueden invocar a través de API para 20,000 veces de forma gratuita al mes.
Escenarios
- Cifrar datos en OBS
- Cifrar datos en EVS
- Cifrar datos en IMS
- Cifrar una instancia de base de datos de RDS
- Utilice claves personalizadas para cifrar y descifrar directamente pequeños volúmenes de datos.
- Encriptación y desencriptación de DEK para aplicaciones de usuario
- Generación y verificación de código de autenticación de mensajes
- Las claves asimétricas se pueden utilizar para firmas digitales y verificación de firmas.
Creación de una clave
- Inicie sesión en la consola de gestión.
- Haga clic en
en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
- Haga clic en
. Elija Security & Compliance > Data Encryption Workshop.
- Haga clic en Create Bucket en la esquina superior derecha.
- Configure los parámetros en el cuadro de diálogo Create Key.
Figura 1 Creación de una clave
- Alias es el alias de la clave que se va a crear.
NOTA:
- Puede introducir dígitos, letras, guiones bajos (_), guiones, dos puntos (:), y barras diagonales (/).
- Puede introducir hasta 255 caracteres.
- Key Algorithm: Seleccione un algoritmo de clave. Para obtener más información, consulte Tabla 1.
Tabla 1 Algoritmos de clave soportados por KMS Tipo de clave
Tipo de algoritmo
Especificaciones de clave
Descripción
Uso
Clave simétrica
AES
AES_256
Clave simétrica de AES
Cifra y descifra una pequeña cantidad de datos o claves de datos.
Clave simétrica
AES
- HMAC_256
- HMAC_384
- HMAC_512
Clave simétrica de HMAC
Genera y verifica un código de autenticación de mensaje
Clave simétrica
SM3
HMAC_SM3
Clave simétrica de SM3
Genera y verifica un código de autenticación de mensaje
Clave asimétrica
RSA
- RSA_2048
- RSA_3072
- RSA_4096
Contraseña asimétrica de RSA
Cifra y descifra una pequeña cantidad de datos o crea firmas digitales.
ECC
- EC_P256
- EC_P384
Curva elíptica recomendada por NIST
Firma digital
- Usage: Seleccione SIGN_VERIFY, ENCRYPT_DECRYPT o GENERATE_VERIFY_MAC.
- Para una clave simétrica AES_256, el valor predeterminado es ENCRYPT_DECRYPT.
- Para una clave simétrica HMAC, el valor por defecto es GENERATE_VERIFY_MAC.
- Para claves asimétricas RSA, seleccione ENCRYPT_DECRYPT o SIGN_VERIFY. El valor predeterminado es SIGN_VERIFY.
- Para una clave asimétrica ECC, el valor predeterminado es SIGN_VERIFY.
NOTA:
El uso de la clave solo se puede configurar durante la creación de la clave y no se puede modificar posteriormente.
- (Opcional) Description es la descripción de la clave personalizada.
- El parámetro Enterprise Project debe establecerse solo para usuarios empresariales.
Si es un usuario de empresa y ha creado un proyecto de empresa, seleccione el proyecto de empresa necesario en la lista desplegable. El proyecto predeterminado es default.
Si no se muestran opciones de Enterprise Management, no es necesario configurarlas.
NOTA:
- Puede usar proyectos empresariales para gestionar recursos en la nube y miembros del proyecto. Para obtener más información sobre proyectos empresariales, consulte ¿Qué es Enterprise Project Management Service?
- Para obtener más información acerca de cómo habilitar la función de proyecto de empresa, consulte Habilitación de Centro de empresa.
- Alias es el alias de la clave que se va a crear.
- (Opcional) Agregue etiquetas a la clave personalizada según sea necesario e introduzca la clave de etiqueta y el valor de etiqueta.
NOTA:
- Después de crear un CMK, puede hacer clic en el alias del CMK para ir a la página de detalles del CMK y agregar una etiqueta al CMK.
- La misma etiqueta (incluidas clave de etiqueta y valor de etiqueta) se puede utilizar para diferentes claves personalizadas. Sin embargo, bajo la misma clave personalizada, una clave de etiqueta puede tener solo un valor de etiqueta.
- Se puede agregar un máximo de 20 etiquetas para una clave personalizada.
- Si desea eliminar una etiqueta de la lista de etiquetas al agregar varias etiquetas, puede hacer clic en Delete en la fila donde se encuentra la etiqueta que se va a agregar para eliminarla.
- Haga clic en OK. Aparece un mensaje en la esquina superior derecha de la página, indicando que la clave se ha creado correctamente.
En la lista de claves, puede ver la clave creada. El estado predeterminado de una clave es Enabled.
Operaciones relacionadas
- Para obtener más información sobre cómo cargar objetos con encriptación del lado del servidor, consulte la sección "Cargar un archivo con encriptación del lado del servidor" en Guía de usuario de Object Storage Service.
- Para obtener más información sobre cómo cifrar datos en discos EVS, consulte la sección Compra de un disco EVS en la Guía del usuario de Elastic Volume Service.
- Para obtener más información acerca de cómo cifrar imágenes privadas, consulte la sección Guía de usuario de Image Management Service.
- Para obtener detalles acerca de cómo cifrar discos para una instancia de base de datos en RDS, consulte la sección "Compra de una instancia" en la Guía de usuario de Relational Database Service.
- Para obtener más información sobre cómo crear un DEK y un DEK sin texto plano, consulte las secciones "Creación de un DEK" y "Creación de un DEK sin texto plano" en la Referencia de API de Data Encryption Workshop.
- Para obtener detalles sobre cómo cifrar y descifrar un DEK para una aplicación de usuario, consulte las secciones "Encriptación de un DEK" y "Desencriptación de un DEK" en la Referencia de API de Data Encryption Workshop.